如何在 Windows 中使用组策略配置 WinRM

Windows 远程管理 (WinRM) 允许管理员通过网络远程管理 Windows 计算机。虽然您可以在单台计算机上手动启用 WinRM，但使用组策略提供了一种在域中的多个系统上进行配置的集中方式。本指南将引导您完成通过组策略对象 (GPO) 设置 WinRM 的过程。

步骤一：确保网络连接设置为专用或域。出于安全原因，无法在公共网络上启用 WinRM。在客户端计算机上，转至设置 > 网络和 Internet > Wi-Fi 或以太网。单击您的活动连接并将网络配置文件设置为专用。

步骤2：通过打开提升的 PowerShell 提示符并运行以下命令来验证 WinRM 是否已启用：

WinRM enumerate winrm/config/listener

如果您看到错误消息，则表明 WinRM 尚未配置。

步骤3：打开组策略管理控制台。您可以通过在域控制器或管理工作站的“开始”菜单中搜索“gpmc.msc”来执行此操作。

第4步：在组策略管理控制台中，右键单击要应用 WinRM 配置的域或组织单位。选择“在此域中创建 GPO，并将其链接到此处”。将新 GPO 命名为具有描述性的名称，例如“WinRM 配置”。

第5步：右键单击新创建的 GPO，然后选择“编辑”，打开组策略管理编辑器。

第6步：导航到计算机配置 > 策略 > Windows 设置 > 安全设置 > 系统服务。找到“Windows 远程管理（WS-Management）”服务。双击它并将启动模式设置为“自动”。

第7步：接下来，转到计算机配置 > 首选项 > 控制面板设置 > 服务。在右侧窗格中右键单击，选择新建 > 服务。输入“WinRM”作为服务名称，将启动设置为“自动”，并选择“启动服务”作为服务操作。

步骤8：导航到计算机配置 > 策略 > 管理模板 > Windows 组件 > Windows 远程管理 (WinRM) > WinRM 服务。

第9步：双击“允许通过 WinRM 进行远程服务器管理”并将其设置为“启用”。在 IPv4 过滤器框中，您可以指定允许连接的 IP 地址或子网。使用“*”将允许来自任何 IP 地址的连接。

第10步：配置 Windows 防火墙以允许 WinRM 流量。转至计算机配置 > 策略 > Windows 设置 > 安全设置 > 高级安全 Windows 防火墙 > 入站规则。

第11步：在右侧窗格中右键单击并选择新建规则。选择“预定义”，然后从下拉列表中选择“Windows 远程管理”。完成向导，确保为域和专用配置文件（而非公共）启用规则。

步骤12：通过导航到计算机配置 > 策略 > 管理模板 > Windows 组件 > Windows 远程 Shell 来启用远程 shell 访问。双击“允许远程 Shell 访问”并将其设置为“启用”。

步骤13：配置 GPO 后，就可以将更改应用到客户端计算机了。在每台客户端计算机上，打开提升的命令提示符并运行：

了解更多：如何在 Windows 11 中使用组策略配置 Google Chrome

gpupdate /force

此命令强制立即更新计算机上的组策略设置。

第14步：要验证 WinRM 现在是否已正确配置，请在客户端计算机上以管理员身份打开 PowerShell，然后再次运行以下命令：

WinRM enumerate winrm/config/listener

如果启用了 WinRM，您应该会看到显示侦听器配置详细信息的输出。

通过执行这些步骤，您已使用组策略在 Windows 域中成功配置了 WinRM。这种集中式方法可以节省时间并确保所有托管计算机的设置保持一致。请记住彻底测试远程管理功能并监控特定环境中的任何安全影响。